Комментарии 130
Надо бы, количество посещений на паре сайтов поднять) сорри, шучу.
Ну что, попробуем?
Пользуюусь Оперой. Никуда не перенаправило.
> Пользуюусь Оперой. Никуда не перенаправило.
А сейчас?
А сейчас?
Нулевой эффект
12.50 internal / 1583
12.50 internal / 1583
> уязвимость исправлена в следующей версии браузера 12.10
> 12.50 internal
facepalm.jpg
> 12.50 internal
facepalm.jpg
> x64
Интересно было проверить этот момент.
// Надеюсь application/internet-shortcut у вас не переключен, иначе не честно :)
Интересно было проверить этот момент.
// Надеюсь application/internet-shortcut у вас не переключен, иначе не честно :)
Вы наверное считаете, что я вам не поверил, что у вас версия 12.50. Однако же нет. Я удивлен тем, что в топике ясно написано что в следующей версии баг пофиксиили, а вы все равно пытаетесь воспроизвести его в ней. И да, я знаю, что 12.50 переименовали в 12.10.
В 12.10 beta Сборка: 1639 не пофикшено. См. rutracker.org/forum/viewtopic.php?t=4228576&start=30
Нет смысла говорить об интернальной сборке Оперы. Там могут быть применены любые патчи, еще не вышедшие в паблик.
Скачал 32-битную версию. Редиректит на яндекс. И в ней работает уязвимость с XSS на любых сайтах.
Так что либо дело в битности, либо в каких-то настройках/блокерах.
Скачать можно здесь: arc.opera.com/snapshot/windows/Opera-Next-12.50-1583.x64.exe
Скачать можно здесь: arc.opera.com/snapshot/windows/Opera-Next-12.50-1583.x64.exe
Дело не в битности, у меня на x64 1639 редирект прекрасно сработал.
Скачал, установил. Не помогло, редирект происходит. Поставил в настройках на application/internet-shortcut вывод диалога загрузки, хотя не очень удобно, но уязвимость закрывает. Впрочем, крайне неприятно, что компания, выпускающая мой любимый браузер не пофиксила этот баг в течении пары дней после его обнаружения.
Тогда я вынужден извиниться по 2 пунктам:
*Не дочитал о том, что баг уже пофиксили.
*He знал о переименовании 12.50 в 12.10 (ссылкой не поделитесь?).
*Не дочитал о том, что баг уже пофиксили.
*He знал о переименовании 12.50 в 12.10 (ссылкой не поделитесь?).
Ну вот следующая публичная сборка после вашей и была переименована в 12.10.
my.opera.com/desktopteam/blog/2012/09/12/opera-12-10-beta-candidate
my.opera.com/desktopteam/blog/2012/09/12/opera-12-10-beta-candidate
12.10.1639
Редиректит на ya.ru, хотя уверяли, что пофиксили.
Редиректит на ya.ru, хотя уверяли, что пофиксили.
Интересно, если несколько таких картинок на одной странице, куда броузер перейдет? )
Opera 12.02. Картинка не грузится.
(я что-то делаю не так?)
(я что-то делаю не так?)
Неудачная попытка. Сайт (рутрекер) отдает для этого файла заголовок X-Frame-Options, запрещающий отображать эту картинку на других сайтах, и Опера вместо картинки показывает страницу с ошибкой. Хотя в сафари, например, отображается.
Меня перенаправило сюда rutracker.org/forum/viewtopic.php?t=4228361
Opera 11.52
Opera 11.52
Опера 11.61 Linux i686 — баг работает просто отлично.
Правда срабатывает оно через секунд 8 при первой загрузке.
Правда срабатывает оно через секунд 8 при первой загрузке.
12.02 на маке, перенаправляет )
Хром 24.0.1305.3 на винде.
Картинка рисуется.
При попытке открыть ее в отдельной вкладке предлагает сохранить «загруженное» на диск.
Внутри полученного файла
[InternetShortcut]
URL=http://rutracker.org/forum/viewtopic.php?t=4228361
Картинка рисуется.
При попытке открыть ее в отдельной вкладке предлагает сохранить «загруженное» на диск.
Внутри полученного файла
[InternetShortcut]
URL=http://rutracker.org/forum/viewtopic.php?t=4228361
У меня картинки отключены по умолчанию. Загрузил вручную, но Опера осталась на Хабре. Использую бета-версию 12.10, сборка 1620. Судя по остальным комментариям, перенаправление срабатывает в 11-ых версиях?
Уязвимость эксплуатируется во всех версиях ниже 12.10, просто данная конкретная картинка, вставленная с сайта рутрекера, защищена от встраивания на другие сайты, что затрудняет эксплуатацию с данной конкретной картинкой.
> отключены по умолчанию
Не влияет. Обновите страницу.
Не влияет. Обновите страницу.
> Не влияет.
Потестил ещё влияние функции отключения картинок и как-то оно спорадически, то работает, то не работает…
Потестил ещё влияние функции отключения картинок и как-то оно спорадически, то работает, то не работает…
Действительно! Буду с нетерпением ждать исправления.
Из-за этого глюка с рабочего компа так и не смог ответить, постоянно перекидывало на яндекс :))) Даже после очистки кэша и отключения картинок. Этот ответ написал уже с домашнего компа :)))
Из-за этого глюка с рабочего компа так и не смог ответить, постоянно перекидывало на яндекс :))) Даже после очистки кэша и отключения картинок. Этот ответ написал уже с домашнего компа :)))
НЛО прилетело и опубликовало эту надпись здесь
12.02 (1578) — никуда не редиректит. но картинку не отображает.
Скажите, у кого-нибудь баг этот сработал? А то судя по комментариям ни кого не перенаправляет…
Скажите, у кого-нибудь баг этот сработал? А то судя по комментариям ни кого не перенаправляет…
Удивительно, на рутрекере уже не первую неделю висит описание, а на Хабре только сейчас. Что-то теряем хватку, господа.
Опера опять всё сделала по-своему…
Откройте картинку в новой вкладке — будет редирект.
Иначе не грузится картинка.
Иначе не грузится картинка.
Хм… Firefox предлагает скачать файл *.part имя файла меняется каждый раз, при новой загрузке. А уже в файле ссылка на рутрекер))
При открытии картинки в новом окне Konqueror 4.8.5 предлагает выбрать приложение и открыть в нем. Выбрал текстовый редактор, получил вот что:
[InternetShortcut]
URL=http://rutracker.org/forum/viewtopic.php?t=4228361
[InternetShortcut]
URL=http://rutracker.org/forum/viewtopic.php?t=4228361
Opera в своём репертуаре — «мы тут не причём, всё нормально, но, так уж и быть, мы сделаем то, о чём вы просите, но не сейчас, а завтра, или, скажем, послезавтра». Этот баг эксплуатирует уже каждый второй script-kiddie.
Для тех, кто не читал по ссылке: есть также описание механизма обезопасивания себя
Tools -> Preferences -> Advanced -> Downloads -> Uncheck «Hide file types opened with Opera» -> Select «application/internet-shortcut» -> Edit… -> Select «Show download dialog»
Tools -> Preferences -> Advanced -> Downloads -> Uncheck «Hide file types opened with Opera» -> Select «application/internet-shortcut» -> Edit… -> Select «Show download dialog»
НЛО прилетело и опубликовало эту надпись здесь
> и отдать при запросе evil.com/evil.png следующие заголовок:
Как показано на rdot.org/forum/showpost.php?p=29035&postcount=25 это не обязательно.
Как показано на rdot.org/forum/showpost.php?p=29035&postcount=25 это не обязательно.
Оперативно:
my.opera.com/desktopteam/blog/2012/10/26/prefetching-hovered-links
CORE-49107 Disallow internet shortcuts in frames (+ svg images)
my.opera.com/desktopteam/blog/2012/10/26/prefetching-hovered-links
CORE-49107 Disallow internet shortcuts in frames (+ svg images)
(Отчитаюсь об очевидном)
12.02 / сборка 1578 / Win32 — баг работает, через секунду перекидывает на Яндекс; картинка в другом браузере видна (Fx16, Chrome 22). Однако, ссылка из предыдущего комментария говорит о несколько другой проблеме, не относящейся к этой («When a user hovers links...»). Но установка этой бета-версии (12.10 beta RC / 1620, проверено на WinXP, 32bit) по ссылке со страницы эту проблему НЕ РЕШАЕТ (на сайт Яндеска после установки всё равно редиректит). Впрочем, установка этой бета-версии ничего не портит, т.к. устанавливается в другую папку и её затем можно удалить.
12.02 / сборка 1578 / Win32 — баг работает, через секунду перекидывает на Яндекс; картинка в другом браузере видна (Fx16, Chrome 22). Однако, ссылка из предыдущего комментария говорит о несколько другой проблеме, не относящейся к этой («When a user hovers links...»). Но установка этой бета-версии (12.10 beta RC / 1620, проверено на WinXP, 32bit) по ссылке со страницы эту проблему НЕ РЕШАЕТ (на сайт Яндеска после установки всё равно редиректит). Впрочем, установка этой бета-версии ничего не портит, т.к. устанавливается в другую папку и её затем можно удалить.
Версия:
12.02
Сборка:
1629
Платформа:
Linux
Система:
x86_64, 3.5-trunk-amd64
Никуда не перенаправило.
12.02
Сборка:
1629
Платформа:
Linux
Система:
x86_64, 3.5-trunk-amd64
Никуда не перенаправило.
«Это не баг, а фича». Грустно такое слышать от разработчиков оперы…
У Оперы «своё мнение» стало слишком часто противоречить здравому смыслу. Раньше оно выливалось в наиболее точное следование стандартам, теперь — в маразм.
Решето!
Версия:
12.10 beta
Сборка:
1642
перенаправило!
12.10 beta
Сборка:
1642
перенаправило!
Довольно странная ситуация. Opera славилась скоростью закрытия уязвимостей. Да, можно не считать данную проблему уязвимостью, но проблема от этого никуда не девается. Можно сказать, что it-ресурсы начали истерить и внимательных пользователей не обманешь, но случаи эксплуатации есть, шума уже довольно много. Не на пользу это браузеру. Стоило бы выпустить 12.03 (и 11.68 для Mac). Не в том положении, чтобы можно было ничего не делать.
Opera 11.64 Win — никуда не перенаправляет.
Специально заходил на страницу и перезагружал её несколько раз. Одна из картинок не отображается (та, что в #comment_5337075).
internet-shortcut стоит по-умолчанию.
PS: 12.0x — серия безбожно глючила после установки, пришлось остаться на 11. Жду версию 12.10
Специально заходил на страницу и перезагружал её несколько раз. Одна из картинок не отображается (та, что в #comment_5337075).
internet-shortcut стоит по-умолчанию.
PS: 12.0x — серия безбожно глючила после установки, пришлось остаться на 11. Жду версию 12.10
В случае с моими сайтами — требовали ввести свой номер телефона (так и не понял, зачем им это было нужно).
Очевидно были реализованы смс-подписки. Так что сделайте нотифи своим пользователям, если у кого деньги с телефона начали списывать.
О программе
Информация о версии
Версия:
12.02
Сборка:
1578
Платформа:
Mac OS X
Система:
10.8.2
Не перенаправляет, проверял уже несколько раз. Похоже не все системы или сборки подвержены.
Информация о версии
Версия:
12.02
Сборка:
1578
Платформа:
Mac OS X
Система:
10.8.2
Не перенаправляет, проверял уже несколько раз. Похоже не все системы или сборки подвержены.
в 12.02 не закрыта уязвимость с xss. Исправили в тестовой сборке, но непонятно когда выйдет релиз. И это меня гораздо больше беспокоит чем редирект, который можно отключить в настройках.
Фаерфокс 16.0.1
НЛО прилетело и опубликовало эту надпись здесь
Сохранят нормально, про мастер пароль не скажу т.к. не было нужды. Пользуюсь везде Lastpass. Если Lastpass по какой-то причине не устраивает, Keepass вам в руки. Так ни один троян не угонит.
Троян может базу угнать и закейлоггить мастер-пароль от неё.
Много вы таких паблик троянов знаете?
Ни одного.
Если вы запарились спрятать и зашифровать все пароли, то вы немного параноик.
Но при этом, они спрятаны в одной корзине, всего-навсего за одним замочком. Это должно вас волновать тоже )
Возможно, кто-то захочет украсть именно ваши пароли. Тогда он может найти возможность увести вашу базу с вашего компа или флешки. А кейлоггером получить мастер-пароль.
Не очень безопасно, не правда ли?
Думаю, можно ещё из памяти пароли из базы выудить, когда она открыта.
Так как у LastPass и KeePass большая база пользователей, это повышает возможный профит от специальных решений по их взлому.
Если вы запарились спрятать и зашифровать все пароли, то вы немного параноик.
Но при этом, они спрятаны в одной корзине, всего-навсего за одним замочком. Это должно вас волновать тоже )
Возможно, кто-то захочет украсть именно ваши пароли. Тогда он может найти возможность увести вашу базу с вашего компа или флешки. А кейлоггером получить мастер-пароль.
Не очень безопасно, не правда ли?
Думаю, можно ещё из памяти пароли из базы выудить, когда она открыта.
Так как у LastPass и KeePass большая база пользователей, это повышает возможный профит от специальных решений по их взлому.
Понимаете, меня самого эти вопросы беспокоят.
Я не могу запомнить все пароли, которые у меня есть, соответственно, приходится использовать спец-средства.
Никак не придумаю наилучший вариант.
Я не могу запомнить все пароли, которые у меня есть, соответственно, приходится использовать спец-средства.
Никак не придумаю наилучший вариант.
shpankov нужно работать в правительстве РФ, отмазки в нужном стиле пишет на ура.
Ну, давайте снова по порядку.
1. Это баг, а не уязвимость. Баг уже исправлен в последней тестовой сборке и войдёт в финал 12.1.
2. Наш вывод по поводу классификации данного бага косвенно подтверждают и сторонние исследователи из SecurityLab.ru и Secunia.com, не опознавшие в данном баге браузеронй уязвимости. На SecurityLab.ru опубликовано сообщение о другой «уязвимости», которая на самом деле также не является уязвимостью именно браузера (см. Межсайтовый скриптинг).
3. «Эксплуатация уязвимости» стала возможна по причине отсутствия должного контроля за публикуемым пользователями содержимым со стороны владельцев сайтов. Опять же косвенно это подтверждается и тем, что Rutrecker.org быстро нейтрализовал проблему, введя список доверенных источников для размещения ссылок на изображения.
4. Также важную роль играет и внимательность самих пользователей, переадресованных на другие сайты: при переадресации в адресной строке меняется и URL, таким образом пользователю сообщается, что он уже не там, где рассчитывал быть. Кроме того, в левой части адресной строки Opera находится кнопка-поле, позволяющее быстро сообщить об обнаружении мошеннического сайта соответствующим сервисам. После проверки, данный сайт попадает в список неблагонадёжных и при попытке посетить его другими пользователями, они будут предупреждены о том, что сайт не заслуживает доверия.
5. Сам факт осуществления перенаправления пользователя не приводит к потере каких-либо данных этого пользователя.
P.S. Вообще, данный случай выявил несколько неприятных моментов. Особенно огорчил отказ администрации Rutracker.org прислать пример кода, приводящего к редиректу, а также нежелание некоторых технически грамотных пользователей, активно принимающих участие в обсуждениях на форумах и в блогах, обсудить детали проблемы непосредственно с разработчиками Opera Software.
Мы по-прежнему очень внимательно относимся к безопасности браузеров Opera и никогда не скрываем, если уязвимость имеет место быть, при этом оперативно выпуская обновлённые версии. Также мы надеемся на то, что пользователи, обнаружившие проблемы в работе браузера Opera, будут готовы к более конструктивному диалогу с разработчиками Opera, а не просто обсуждать проблемы в русскоязычных блогах и форумах, читать которые разработчики иностранной компании не имеют возможности.
1. Это баг, а не уязвимость. Баг уже исправлен в последней тестовой сборке и войдёт в финал 12.1.
2. Наш вывод по поводу классификации данного бага косвенно подтверждают и сторонние исследователи из SecurityLab.ru и Secunia.com, не опознавшие в данном баге браузеронй уязвимости. На SecurityLab.ru опубликовано сообщение о другой «уязвимости», которая на самом деле также не является уязвимостью именно браузера (см. Межсайтовый скриптинг).
3. «Эксплуатация уязвимости» стала возможна по причине отсутствия должного контроля за публикуемым пользователями содержимым со стороны владельцев сайтов. Опять же косвенно это подтверждается и тем, что Rutrecker.org быстро нейтрализовал проблему, введя список доверенных источников для размещения ссылок на изображения.
4. Также важную роль играет и внимательность самих пользователей, переадресованных на другие сайты: при переадресации в адресной строке меняется и URL, таким образом пользователю сообщается, что он уже не там, где рассчитывал быть. Кроме того, в левой части адресной строки Opera находится кнопка-поле, позволяющее быстро сообщить об обнаружении мошеннического сайта соответствующим сервисам. После проверки, данный сайт попадает в список неблагонадёжных и при попытке посетить его другими пользователями, они будут предупреждены о том, что сайт не заслуживает доверия.
5. Сам факт осуществления перенаправления пользователя не приводит к потере каких-либо данных этого пользователя.
P.S. Вообще, данный случай выявил несколько неприятных моментов. Особенно огорчил отказ администрации Rutracker.org прислать пример кода, приводящего к редиректу, а также нежелание некоторых технически грамотных пользователей, активно принимающих участие в обсуждениях на форумах и в блогах, обсудить детали проблемы непосредственно с разработчиками Opera Software.
Мы по-прежнему очень внимательно относимся к безопасности браузеров Opera и никогда не скрываем, если уязвимость имеет место быть, при этом оперативно выпуская обновлённые версии. Также мы надеемся на то, что пользователи, обнаружившие проблемы в работе браузера Opera, будут готовы к более конструктивному диалогу с разработчиками Opera, а не просто обсуждать проблемы в русскоязычных блогах и форумах, читать которые разработчики иностранной компании не имеют возможности.
> 1. Это баг, а не уязвимость.
Это именно уязвимость. Я зашел из закладок на хабр, кто-то вставил хитрую кртинку, меня перебрасывает на сайт harbahabr.ru, где мне предлагается залогиниться. Урл поменялся, но кто это заметит?
> 3. «Эксплуатация уязвимости» стала возможна по причине отсутствия должного контроля
> за публикуемым пользователями содержимым со стороны владельцев сайтов.
Это оффиициальная политика компании? Вставлять на свой сайт изображения с других доменов строго воспрещается? Это новое слово в вебе.
> в левой части адресной строки Opera находится кнопка-поле, позволяющее быстро сообщить
> об обнаружении мошеннического сайта соответствующим сервисам.
И как можно воспользоваться этой возможностью, если на сайт, с которого редиректит, невозможно зайти (редиректит же!), а сайт, на который редиректит вообще не имеет к этому сообщению?
> Особенно огорчил отказ администрации Rutracker.org прислать пример кода, приводящего к редиректу
Картинка в открытом доступе. Что еще нужно было?
Это именно уязвимость. Я зашел из закладок на хабр, кто-то вставил хитрую кртинку, меня перебрасывает на сайт harbahabr.ru, где мне предлагается залогиниться. Урл поменялся, но кто это заметит?
> 3. «Эксплуатация уязвимости» стала возможна по причине отсутствия должного контроля
> за публикуемым пользователями содержимым со стороны владельцев сайтов.
Это оффиициальная политика компании? Вставлять на свой сайт изображения с других доменов строго воспрещается? Это новое слово в вебе.
> в левой части адресной строки Opera находится кнопка-поле, позволяющее быстро сообщить
> об обнаружении мошеннического сайта соответствующим сервисам.
И как можно воспользоваться этой возможностью, если на сайт, с которого редиректит, невозможно зайти (редиректит же!), а сайт, на который редиректит вообще не имеет к этому сообщению?
> Особенно огорчил отказ администрации Rutracker.org прислать пример кода, приводящего к редиректу
Картинка в открытом доступе. Что еще нужно было?
> Это именно уязвимость. Я зашел из закладок на хабр, кто-то вставил хитрую кртинку, меня перебрасывает на сайт harbahabr.ru, где мне предлагается залогиниться. Урл поменялся, но кто это заметит?
Точно такой же эффект очень часто достигается внедрением JS Injections на сайты. Но это не считается уязвимостью браузера — это недоработка админов сайтов.
> Это оффиициальная политика компании? Вставлять на свой сайт изображения с других доменов строго воспрещается? Это новое слово в вебе.
Почему?
Для защиты от уязвимостей данного типа требуется жёсткая фильтрация, как названий атрибутов, так и их значений. Также следует запретить использование протоколов javascript: и data: во всех ссылках.
Wikipedia
> И как можно воспользоваться этой возможностью, если на сайт, с которого редиректит, невозможно зайти (редиректит же!), а сайт, на который редиректит вообще не имеет к этому сообщению?
В данном случае мошенническим является сайт, на который пользователь перенаправляется. Вот этот сайт и нужно помещать в неблагонадёжные.
> Картинка в открытом доступе. Что еще нужно было?
Теперь — в открытом, на момент запроса к Rutracker.org её ещё не было.
Точно такой же эффект очень часто достигается внедрением JS Injections на сайты. Но это не считается уязвимостью браузера — это недоработка админов сайтов.
> Это оффиициальная политика компании? Вставлять на свой сайт изображения с других доменов строго воспрещается? Это новое слово в вебе.
Почему?
Для защиты от уязвимостей данного типа требуется жёсткая фильтрация, как названий атрибутов, так и их значений. Также следует запретить использование протоколов javascript: и data: во всех ссылках.
Wikipedia
> И как можно воспользоваться этой возможностью, если на сайт, с которого редиректит, невозможно зайти (редиректит же!), а сайт, на который редиректит вообще не имеет к этому сообщению?
В данном случае мошенническим является сайт, на который пользователь перенаправляется. Вот этот сайт и нужно помещать в неблагонадёжные.
> Картинка в открытом доступе. Что еще нужно было?
Теперь — в открытом, на момент запроса к Rutracker.org её ещё не было.
Почему?
Для защиты от уязвимостей данного типа требуется жёсткая фильтрация, как названий атрибутов, так и их значений. Также следует запретить использование протоколов javascript: и data: во всех ссылках.
Wikipedia
Хм, такое впечатление, что вы не понимаете сути атаки.
Владелец сайта никак не может «отфильтровать» http заголовки картинки, они идут напрямую с чужого сайта в браузер пользователя, а не через сайт где была вставлена картинка.
Другими словами вы либо не понимаете как эта уязвимость работает, либо как «решение» предлагаете перестать в вебе использовать картинки с других сайтов и все картинки хостить только на своем сервере.
> перестать в вебе использовать картинки с других сайтов и все картинки хостить только на своем сервере.
На Rutrecker.org ввели список доверенных img-хостов. Как вариант можно использовать блокирование мошеннических хостов, но это не самое лучшее решение, т.к. нужно будет оперативно реагировать на появление всё новых. Поэтому хранение картинок у себя или список доверенных хостов выглядит предпочтительней, иначе нет страховки, что в будущем мошенники не найдут ещё какую-нибудь лазейку.
На Rutrecker.org ввели список доверенных img-хостов. Как вариант можно использовать блокирование мошеннических хостов, но это не самое лучшее решение, т.к. нужно будет оперативно реагировать на появление всё новых. Поэтому хранение картинок у себя или список доверенных хостов выглядит предпочтительней, иначе нет страховки, что в будущем мошенники не найдут ещё какую-нибудь лазейку.
> Поэтому хранение картинок у себя или список доверенных хостов выглядит предпочтительней, иначе нет страховки, что в будущем мошенники не найдут ещё какую-нибудь лазейку.
Вряд ли это можно назвать решением.
Если я например веду блог с кошечками, от меня как от владельца не должно требоваться при вставки фоток с кошечками проводить расследование можно ли доверять сайтам откуда я их вставляю.
При этом вообще теряется большая часть смысла Веба в том виде, в котором он есть сейчас.
В браузерах для этого и существуют политики безопасности, чтобы владельцу сайта не надо было ломать голову, например можно ли доверять сайту, контент с которого он вставил через iframe и не украдет ли тот сайт потом куки.
Вряд ли это можно назвать решением.
Если я например веду блог с кошечками, от меня как от владельца не должно требоваться при вставки фоток с кошечками проводить расследование можно ли доверять сайтам откуда я их вставляю.
При этом вообще теряется большая часть смысла Веба в том виде, в котором он есть сейчас.
В браузерах для этого и существуют политики безопасности, чтобы владельцу сайта не надо было ломать голову, например можно ли доверять сайту, контент с которого он вставил через iframe и не украдет ли тот сайт потом куки.
> Если я например веду блог с кошечками, от меня как от владельца не должно требоваться при вставки фоток с кошечками проводить расследование можно ли доверять сайтам откуда я их вставляю.
Если вы просто ведёте блог на каком-то сервисе, это не ваша забота, а забота админов блог-сервиса. Если же вы ведёте блог на своём сайте, то — да, это ваша забота.
Но в контексте обсуждаемого бага с редиректом вы можете не проверять каждую картинку: если она уже где-то опубликована, то ссылка на неё безопасна. Мошенники добавляют на сайты ссылки на картинки, которые сразу перенаправляют на другой сайт. Т.е. вы бы и не увидели данную картинку.
Если вы просто ведёте блог на каком-то сервисе, это не ваша забота, а забота админов блог-сервиса. Если же вы ведёте блог на своём сайте, то — да, это ваша забота.
Но в контексте обсуждаемого бага с редиректом вы можете не проверять каждую картинку: если она уже где-то опубликована, то ссылка на неё безопасна. Мошенники добавляют на сайты ссылки на картинки, которые сразу перенаправляют на другой сайт. Т.е. вы бы и не увидели данную картинку.
> если она уже где-то опубликована, то ссылка на неё безопасна. Мошенники добавляют на сайты ссылки на картинки, которые сразу перенаправляют на другой сайт. Т.е. вы бы и не увидели данную картинку.
Мошенники могут сначала опубликовать безопасную картинку.
А если она окажется вирусной и разойдется по блогам тогда и включить редирект.
Мошенники могут сначала опубликовать безопасную картинку.
А если она окажется вирусной и разойдется по блогам тогда и включить редирект.
Или например устанавливая код баннера у себя на сайте, иногда заранее вообще нельзя узнать с каких хостов будут показываться картинки. А если и узнаю, то как определить можно ли им доверять?
А отображение картинок в письмах? Как пользователю или почтовому сервису заранее узнать можно ли включить отображение или нет?
Ну итд, примеров можно придумать массу.
А отображение картинок в письмах? Как пользователю или почтовому сервису заранее узнать можно ли включить отображение или нет?
Ну итд, примеров можно придумать массу.
>2. Наш вывод по поводу классификации данного бага косвенно подтверждают и сторонние исследователи из SecurityLab.ru и >Secunia.com, не опознавшие в данном баге браузеронй уязвимости. На SecurityLab.ru опубликовано сообщение о другой >«уязвимости», которая на самом деле также не является уязвимостью именно браузера (см. Межсайтовый скриптинг).
Илья, формально xss является уязвимостью сайтов. Но в данном случае это очень серьезная уязвимость браузера, которую очень легко эксплуатировать. Далеко не все популярные сайты используют HTTP only cookies. Habr не является исключением.
Я думаю, многие ждали релиза 12.03, а не тестовую сборку Opera Next, релиз которой (и соответственно автоматическое обновление) будет непонятно когда.
Илья, формально xss является уязвимостью сайтов. Но в данном случае это очень серьезная уязвимость браузера, которую очень легко эксплуатировать. Далеко не все популярные сайты используют HTTP only cookies. Habr не является исключением.
Я думаю, многие ждали релиза 12.03, а не тестовую сборку Opera Next, релиз которой (и соответственно автоматическое обновление) будет непонятно когда.
Прошу прощения, конечно же 12.1. Но суть проблемы не меняет
> Далеко не все популярные сайты используют HTTP only cookies. Habr не является исключением.
Куки тут вроде не причем. Браузер не передаст их на другой домен.
Опасность в фишинге
Куки тут вроде не причем. Браузер не передаст их на другой домен.
Опасность в фишинге
У меня для тебя плохие новости…
И какие же?
Илья приводил ссылку www.securitylab.ru/vulnerability/430940.php
В статье есть ссылка и на оригинал.
Я надеюсь, что обсуждаемый здесь баг с редиректом нельзя объеденить с этим xss.
В статье есть ссылка и на оригинал.
Я надеюсь, что обсуждаемый здесь баг с редиректом нельзя объеденить с этим xss.
Вы пишите про атрибут HTTPonly он помогает бороться с определенным типом XSS, когда куки крадутся со страницы через JS код.
Как это относится к этому топику, ведь тут речь только про редирект на другой домен?
Или вы знаете как с помощью этой уязвимости выполнить JS код в контексте политики безопасности первого домена?
Как это относится к этому топику, ведь тут речь только про редирект на другой домен?
Или вы знаете как с помощью этой уязвимости выполнить JS код в контексте политики безопасности первого домена?
> Далеко не все популярные сайты используют HTTP only cookies
Между тем, их нередко рекомендуют к обязательному использованию для обеспечения более качественной защиты сайтов от атак:
prophet.ru/2010/12/httponly-cookies/
Между тем, их нередко рекомендуют к обязательному использованию для обеспечения более качественной защиты сайтов от атак:
prophet.ru/2010/12/httponly-cookies/
Повторю пожалуй, свой вопрос с рутрекера. Хотелось бы более-менее официального ответа:
____
Теперь неплохо бы услышать, будет ли закрыто xss в старых версиях. Обновлением browser.js, (если это возможно решить таким образом, разумеется).
Хотя
кажется работает.
В качестве примера, на github.com/operasoftware/browserjs/tree/master/desktop скажем, browserjs-11.62.js был обновлён позавчера.
____
Теперь неплохо бы услышать, будет ли закрыто xss в старых версиях. Обновлением browser.js, (если это возможно решить таким образом, разумеется).
Хотя
if(location.protocol == 'data:')location.reload = function(){}кажется работает.
В качестве примера, на github.com/operasoftware/browserjs/tree/master/desktop скажем, browserjs-11.62.js был обновлён позавчера.
Я пытался исправить баг через userjs (нет среды выполнения), через расширение в режиме dev mode (вроде получается перекинуть location = 'opera:about' до момента выполнения скрипта data:text/html), через расширение в обычном режиме (есть среда выполнения, но не могу остановить выполнение)
Уверен, что browser.js исправил бы ситуацию.
Уверен, что browser.js исправил бы ситуацию.
> Повторю пожалуй, свой вопрос с рутрекера. Хотелось бы более-менее официального ответа:
Алексей, задавать вопрос и ждать официального ответа на Хабре или Рутрекере по меньшей мере странно — оба ресурса не являются официальными каналами Opera Software. Мои ответы здесь и на Рутрекере не являются официальными, это лишь моя попытка донести логику мышления разработчиков Opera до интересующейся проблемой общественности.
Ты можешь отправить запрос разработчикам используя официальный канал
Алексей, задавать вопрос и ждать официального ответа на Хабре или Рутрекере по меньшей мере странно — оба ресурса не являются официальными каналами Opera Software. Мои ответы здесь и на Рутрекере не являются официальными, это лишь моя попытка донести логику мышления разработчиков Opera до интересующейся проблемой общественности.
Ты можешь отправить запрос разработчикам используя официальный канал
У вас же здесь вроде бы был официальный бложек.
Но вопрос фактически о другом, об отношении к своим пользователям. Либо вы стараетесь обезопасить их насколько возможно, либо заб[иы]ваете. Менеджер по развитию вполне может на него ответить.
Но вопрос фактически о другом, об отношении к своим пользователям. Либо вы стараетесь обезопасить их насколько возможно, либо заб[иы]ваете. Менеджер по развитию вполне может на него ответить.
Менеджер по развитию не может отвечать на вопросы, адресованные разработчикам — это не его компетенция. «Официальный бложек» на Хабре также не является официальным блогом разработчиков Opera. Данный топик опубликован не в официальном корпоративном блоге, и я здесь присутствую не как официальное лицо, а как обычный пользователь Хабра.
Отношение к своим пользователям в Opera не менялось и остаётся прежним — мы всегда внимательно относимся к их проблемам, связанным с браузером Opera. На твой запрос, отправленный в BTS по ссылке выше (если, конечно, он будет отправлен), обязательно будет ответ разработчиков.
Отношение к своим пользователям в Opera не менялось и остаётся прежним — мы всегда внимательно относимся к их проблемам, связанным с браузером Opera. На твой запрос, отправленный в BTS по ссылке выше (если, конечно, он будет отправлен), обязательно будет ответ разработчиков.
Судя по предыдущему опыту, с вероятностью в 90% это будет отписка в стиле «мы работаем над этим». Впрочем, отправил.
Вижу.
Только я вот одного не понимаю. В чём скрытый смысл оскорблений, помещаемых в баг-репорт? Это попытка поставить себя выше людей, которым адресовано сообщение? Я ещё могу понять, когда оскорбительные послания шлют недоумки, ничего умнее не придумавшие, но ты же, Алексей, вполне себе взрослый и умный человек? Ты отправляешь сообщение соверешенно незнакомым тебе людям, зачем же изначально показывать себя с негативной стороны?
Только я вот одного не понимаю. В чём скрытый смысл оскорблений, помещаемых в баг-репорт? Это попытка поставить себя выше людей, которым адресовано сообщение? Я ещё могу понять, когда оскорбительные послания шлют недоумки, ничего умнее не придумавшие, но ты же, Алексей, вполне себе взрослый и умный человек? Ты отправляешь сообщение соверешенно незнакомым тебе людям, зачем же изначально показывать себя с негативной стороны?
Там было:
Что я туда должен был писать, когда на оффсайте уже почти месяц предлагается уязвимая версия? Молодцы делайте так и дальше?
Да и вообще, что осмысленного можно в данном случае написать в этих полях.
What do you expect to happen?
Quick fix.
What actually happens?
You are slowpokes.Что я туда должен был писать, когда на оффсайте уже почти месяц предлагается уязвимая версия? Молодцы делайте так и дальше?
Да и вообще, что осмысленного можно в данном случае написать в этих полях.
Проблема с полями при отправки баг-репортов действительно есть. Дурацкий поля, дурацкий ответы в них.
Приветствую хабровчан, а также Вас, гражданин соврамши!
Мне бы очень не хотелось вмешиваться в обсуждение этой проблемы. Хотелось бы исключить любую возможную предвзятость во мнениях независимых и не пострадавших от данной уязвимости людей. Особенно здесь, на хабре, где большинство не просто пользователи, которым легко заморочить голову любым наукообразным бредом, а специалисты, которые прекрасно понимают, о чем на самом деле идет речь.
Поэтому я хочу прокомментировать только один момент, который тов. Shpankov упоминает уже не первый раз (первый был здесь) и процитировать, что ему было сказано по данному вопросу
Он пишет:
Это не так. На его вопрос:
был дан ответ:
И это не говоря о том, что намного раньше, даже в темах на рутрекере, где он писал, что уязвимости нет, ему приводили примеры и редиректов, и других уязвимостей (да он и сам там давал ссылки на первоисточник).
Тестовая картинка была сделана на скорую руку уже во время подготовки новости
Страшно представить, сколько бы людей пострадало, если бы мошенник мог использовать второй некритичный баг Оперы, получая данные сессии и полный доступ к сайту от имени юзера.
Мне бы очень не хотелось вмешиваться в обсуждение этой проблемы. Хотелось бы исключить любую возможную предвзятость во мнениях независимых и не пострадавших от данной уязвимости людей. Особенно здесь, на хабре, где большинство не просто пользователи, которым легко заморочить голову любым наукообразным бредом, а специалисты, которые прекрасно понимают, о чем на самом деле идет речь.
Поэтому я хочу прокомментировать только один момент, который тов. Shpankov упоминает уже не первый раз (первый был здесь) и процитировать, что ему было сказано по данному вопросу
Он пишет:
Особенно огорчил отказ администрации Rutracker.org прислать пример кода, приводящего к редиректу
Это не так. На его вопрос:
Можете вы прислать нам образец ссылок, которые размещались на Рутрекере и приводили к угону аккаунтов или редиректу?
был дан ответ:
я их не сохранял
для тестирования в них было мало толка, они срабатывали только один раз и после этого хакер отдавал по ним уже другой контент
но можете спросить у тех.помощи
rutracker.org/forum/groupcp.php?g=104841
И это не говоря о том, что намного раньше, даже в темах на рутрекере, где он писал, что уязвимости нет, ему приводили примеры и редиректов, и других уязвимостей (да он и сам там давал ссылки на первоисточник).
> Картинка в открытом доступе. Что еще нужно было?
Теперь — в открытом, на момент запроса к Rutracker.org её ещё не было.
Тестовая картинка была сделана на скорую руку уже во время подготовки новости
cookies
Страшно представить, сколько бы людей пострадало, если бы мошенник мог использовать второй некритичный баг Оперы, получая данные сессии и полный доступ к сайту от имени юзера.
Народ что вы так всполошились из-за этой проблемы, не понимаю. Не вижу ничего критичного, проблема легко устраняется путем настроек в опере (благо опера гибкий в настройках браузер). Разумный человек не будет вестись на фишинговые сайты, а дурака никакая заплатка не спасет. Если человек не понимает что нужно смотреть в первую очередь куда шлешь данные, то у таких и вирусов в компе как грязи (обычная ситуация для непонимающих). И помимо этой проблемы уж поверьте у них других хватает выше крыше.
Я сижу на Опере 11.64 и меня вполне устраивает этот браузер, а данную проблему просто отключил в настройках.
Для тех кто не в курсе как это сделать: Идем в «Инструменты» далее выбираем «Общие настройки...», там ищем вкладку «Расширенные» затем пункт «Загрузки», снимаем флажок «Скрыть типы, открываемые Opera». Ищем в списке тип «application/internet-shortcut» выделяем его, затем жмем «Изменить...», затем в пункте «Действие» ставим радиобатон на «Показать диалог загрузки» затем «ОК» и снова «ОК». Вот и все проблемы.
Я сижу на Опере 11.64 и меня вполне устраивает этот браузер, а данную проблему просто отключил в настройках.
Для тех кто не в курсе как это сделать: Идем в «Инструменты» далее выбираем «Общие настройки...», там ищем вкладку «Расширенные» затем пункт «Загрузки», снимаем флажок «Скрыть типы, открываемые Opera». Ищем в списке тип «application/internet-shortcut» выделяем его, затем жмем «Изменить...», затем в пункте «Действие» ставим радиобатон на «Показать диалог загрузки» затем «ОК» и снова «ОК». Вот и все проблемы.
Тыкните сюда, уважаемый devote
И что я должен был увидеть? открылся алерт с:
<about:blank>
PHPSESSID=6812f130da507cafecc7928ef879829e; hsec_id=69e740e3e099524e2fbb417ce83ebf3c; hl_flow=posts; __utma=164318880.966899584.1350176797.1351348804.1351353884.31; __utmc=164318880; __utmz=164318880.1351353884.31.18.utmcsr=rutracker.org|utmccn=(referral)|utmcmd=referral|utmcct=/forum/viewtopic.phpЯ так понимаю стырили куки с хабра? И гдеж подвох?
Нет, куки не стырили, там выводится только алерт.
вам этого недостаточно? а если бы это был не хабр, а ваша почта?
вам этого недостаточно? а если бы это был не хабр, а ваша почта?
Я пароли не сохраняю в браузерах и на сайтах, мне всегда проще вводить их каждый день… А насчет почты, ну допустим зашел кто-то на мою почту и что он там увидит? куча писем? Важные данные, пароли и т.д. Мне не шлют по почте и я не шлю, там тырить просто нечего. Да и подозрительные ссылки на почте я не тыкаю.
Ну а в целом конечно я с вами согласен, для простых мало понимающих людей это конечно не есть гуд.
Ну а в целом конечно я с вами согласен, для простых мало понимающих людей это конечно не есть гуд.
Капец у вас логика, блин.
Зашел на твою почту и с помощью восстановления паролей получил доступ ко всем аккаунтам нам всех сайтах, где вы зарегистрированы. Да и сам факт того, что кто-то будет видеть вашу почту — это плохо.
А для определенной категории людей, чья жизнь завязана в том числе и на сеть — это вообще беда
А для определенной категории людей, чья жизнь завязана в том числе и на сеть — это вообще беда
Зашел на твою почту и с помощью восстановления паролей получил доступ ко всем аккаунтам нам всех сайтах
Ну вперед, тогда придется ох как долго ждать когда же я соизволю зайти на почту созданную специально для регистраций на всяких сайтах.
И еще раз напомню, я не тыкаю в почте левые ссылки и даже не открываю письма когда вижу что они никак не относятся к тому с чем я связан. А просто тупо все летит в корзину, даже без просмотра.
… даже без просмотра...
Ну, это если только создатели сервиса не «постарались для вас» и не сделали предзагрузку «наиболее вероятных» (с их точек зрения, конечно) страниц (в данном случае писем) для вашего же «удобства».
А гарантировать, что у них никогда не появятся такие «фишки интерфейса» вы не можете.
PS: В некоторых ситуациях эти «фишки» могут быть и полезны — увеличивают отзывчивость интерфейса и др., но не в данном случае и не в случае мобильного соединения с оплатой за трафик...
Прощай, Опера, это было последней каплей для меня.
P.S. Теперь уже — бывший пользователь этого не плохого в свое время браузера.
P.S. Теперь уже — бывший пользователь этого не плохого в свое время браузера.
opera mobile for android — тоже самое.
подозреваю, что порядело…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Опера не спешит закрывать уязвимость?